Главная » Блоги Экспертов И ИТ-Компаний » Персональные данные, полученные в результате обезличивания
Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры" 11 лет назад
Возможность размещать посты на проекте остановлена

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.

Персональные данные, полученные в результате обезличивания

С глубоким разочарованием и внутренним стыдом осознавая, что совершенно ничего не понимаю в трейдерской деятельности по закупке бочек с нефтью с отрицательной ценой (что, правда доплачивают по 40 баксов за бочку каждому купившему? Не верю! Я же математик все-таки по образованию) и во взаимодействии коронавируса с разными типами белков при проникновении в организм, продолжаю писать о том, в чем понимаю. 

17 апреля ТАСС сообщил, что Совет Федерации одобрил законопроект «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"».

С недоумением наблюдаю, как в последнее время законодатели и правоприменители плодят все новые и новые сущности. Вот и новый практически уже закон вносит в 152-ФЗ «О персональных данных» принципиально новое понятие «персональные данные, полученные в результате обезличивания», сохраняя «добрую» традицию не давать определение используемому термину.

Давайте сначала разберемся с понятиями действующего законодательства. В действующей редакции закона 152-ФЗ определено, что обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Такое определение фактически допускает два принципиально разных подхода к обезличиванию: (1) когда оператор заменяет информацию, идентифицирующую субъекта, например, ФИО и СНИЛС, некими условными идентификаторами, с сохранением возможности при необходимости связать обезличенные данные с конкретным субъектом (назовем его обратимым обезличиванием) и (2) необратимое обезличивание, когда оператор уничтожает идентифицирующие данные, что не позволяет сделать даже ему процесс обезличивания обратимым, и использует эти данные для статистических, аналитических целей, таких, например, как андеррайтинг или исследование рынка.

В европейском GDPR для таких видов обезличивания используются разные термины – псевдонимизация и анонимизация, и выдвигаются совершенно разные требования к защите полученных данных, точнее, к обработке анонимизированных данных не выдвигается вообще никаких требований, а к псевдонимизированным требуется относиться также, как и к персональным данным. 

Наши законодатели пошли своим путем. У меня давно было подозрение, что наше обезличивание – это не совсем обезличивание. Основывалось оно на том, что в требованиях и методах по обезличиванию, утвержденных приказом Роскомнадзора № 994 от 05.09.2013, среди обязательных для выполнения госорганами требований при обезличивании есть обратимость, то есть возможность проведения деобезличивания - процесса, в результате которого данные опять становятся персональными. Это полностью противоречит букве и духу закона 152-ФЗ, который в части 7 статьи 5 однозначно допускает, в случае достижения цели обработки персональных данных, два возможных действия – их уничтожение или обезличивание, то есть после обезличивания данные должны перестать быть персональными, и их привязка к конкретному субъекту должна быть невозможна.

Первый звоночек прозвенел, когда появился законопроект, в котором упоминались обезличенные данные и обезличенные персональные данные. Но, пока законопроект пребывает где-то в недрах законотворчества, появился другой – тот самый, о котором 17 апреля сообщил ТАСС.

Что же в новом законопроекте, «почти законе», написано про использование «персональных данных, полученных в результате обезличивания»?

Правительство Москвы наделяется полномочиями по согласованию с Минкомсвязи России определять порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания, на основании соглашений, которые таким участникам надо будет заключить с уполномоченным органом в г. Москве (его определит московское правительство, как я понимаю, это будет ДИТ Москвы).

Персональные данные, полученные в результате обезличивания и обрабатываемые в установленном Правительством Москвы порядке, не могут быть переданы лицам, не являющимся участниками экспериментального правового режима (то есть участникам эксперимента передать их можно).

В случае утраты статуса участника экспериментального правового режима или прекращения эксперимента лицо, являвшееся участником экспериментального правового режима, утрачивает право на получение персональных данных, полученных в результате обезличивания, а хранящиеся у такого лица данные подлежат уничтожению в порядке, установленном уполномоченным Правительством Москвы органом по согласованию с Минкомсвязи России. Для уничтожения этих данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Участники экспериментального правового режима несут ответственность за соблюдение прав субъектов персональных данных в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте. Уполномоченный орган и координационный совет экспериментального правового режима осуществляют в порядке, установленном Правительством Москвы по согласованию с Правительством РФ, мероприятия по контролю за соблюдением обязанности по уничтожению персональных данных, полученных в результате обезличивания (вот и еще один надзорный орган появился).

Все используемые участниками эксперимента обезличенные персональные данные хранятся на территории города Москвы.

В части 1 статьи 6 закона «О персональных данных» появится еще одно основание обработки персональных данных без согласия субъекта – обработка персональных данных, полученных в результате обезличивания персональных данных, в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом «О проведении эксперимента по установлению специального регулирования…», в порядке и на условиях, предусмотренных этим законом.

Обезличивать и использовать без согласия субъекта для проведения эксперимента в этих целях можно будет, в том числе и сведения о состоянии здоровья, для чего вносятся поправки в статью 10 закона «О персональных данных».

Закон вступит в силу уже 1 июля этого года, однако, кто и как определит порядок обезличивания персональных данных для проведения эксперимента, в нем не указывается. Как мне кажется, Приказ Роскомнадзора № 994 здесь вряд ли подойдет, поскольку, судя по количеству флажков (требований), которыми обставлено использование обезличенных данных, обезличиваться они будут, как бы помягче сказать, не совсем полностью, иначе зачем так беспокоиться о сертифицированных средствах уничтожения этих данных.

И главное. Из текста закона нельзя понять, для чего будут собираться, обезличиваться и передаваться участникам экспериментального правового режима персональные данные. Заявленные законом цели проведения эксперимента - обеспечение повышения качества жизни населения; повышение эффективности государственного или муниципального управления; повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта с персональными данными связаны как-то слабо. Но вот требование о том, что результатом установления экспериментального правового режима не может быть ограничение конституционных прав и свобод граждан и введение для них дополнительных обязанностей заставляет задуматься.

Ну, и для полноты картины проведения эксперимента и сложившегося порядка написания законов, Правительство Москвы в этом же законе наделили полномочиями самостоятельно устанавливать порядок и случаи передачи собственниками систем фото- и видеонаблюдения полученных изображений органам государственной власти и организациям, осуществляющим публичные функции, перечень которых определит … ну, вы уже догадались – Правительство Москвы. Причем передавать без всякой связи с проводимым экспериментом, чтобы два раза уже не вставать.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
Управляющий партнер
+7 495 761 5865
Консалтинг включая управленческий и кадровый

Российский эксперт в области информационной безопасности, защиты персональных данных, коммерческой тайны, безопасности бизнеса, государственного регулирования охраны конфиденциальности.




Забыли пароль?

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.